Fragen und Antworten zum Cyber-Angriff
Die RSAG wurde am 18. November 2023 von Cyberkriminellen angegriffen. Dies führte zu erheblichen Störungen in den zentralen IT-Systemen. Alle IT-Systeme wurden sofort isoliert und somit vor weiteren Folgen abgesichert.
Umgehend wurden die Datenschutzaufsichtsbehörden und das Landeskriminalamt eingebunden. Wir haben Anzeige gegen die Cyberkriminellen erstattet. Parallel wurde sofort eine Untersuchung durch externe IT-Spezialist*innen (Forensiker*innen) eingeleitet.
Die Nutzung unserer IT-basierten Kommunikations- und Dokumentationsmittel war und ist teilweise noch immer beeinträchtigt. Der Linienverkehr lief jedoch unterbrechungsfrei weiter, die Versorgung von Rostock mit dem ÖPNV war und ist weiterhin gesichert.
Um Ihnen bestmögliche Unterstützung zu bieten, haben wir eine Liste mit Antworten auf häufig gestellte Fragen (FAQ) erstellt. Diese soll Ihnen als Orientierung dienen und helfen, eventuelle Unsicherheiten zu klären. Sobald wir neue Erkenntnisse haben, werden wir diese Informationen fortlaufend ergänzen.
Im Rahmen der Ermittlungen wurde herausgefunden, dass der Angriff von hochprofessionellen internationalen Cyberkriminellen durchgeführt wurde. Ermittlungsbehörden und Sicherheitsexpert*innen machen die Gruppe für eine Vielzahl von aktuellen Angriffen auf Unternehmen und Organisationen verantwortlich.
Diese Gruppen verfolgen das Ziel, IT-Systeme zu verschlüsseln, um dann für die Entschlüsselung die Zahlung eines Lösegeldes zu erpressen.
Fragen und Antworten zu Datenschutz und Datensicherheit
Seit dem 05.01.2024 wissen wir, dass etwa 100.000 Datensätze von Kund*innen und Mitarbeiter*innen gestohlen wurden. Dabei handelt es sich auch um personenbezogene Daten, z.B. Name, Geburtsdatum, Anschrift, Bankverbindung.
Leider können wir eine Veröffentlichung der Daten nicht ausschließen.
Es kann nicht ausgeschlossen werden, dass die Kriminellen die gestohlenen Daten für betrügerische Aktivitäten nutzen, wie z.B. Online-Einkäufe, Vertragsabschlüsse oder die Erstellung von Benutzerkonten in Ihrem Namen (Identitätsdiebstahl).
Grundsätzlich empfehlen wir:
- Seien Sie bitte aufmerksam beim Umgang mit IT-Anwendungen im Internet.
- Überprüfen Sie regelmäßig Ihre E-Mail-Konten und auch Ihre Bankkonten.
- Löschen Sie verdächtige E-Mails.
- Klicken Sie keine verdächtigen Links an und öffnen Sie keine verdächtigen Anhänge.
- Ändern Sie vorsorglich alle Ihre privaten und dienstlichen Passwörter.
- Nutzen Sie, wenn möglich, die Zwei-Faktor-Authentifizierung.
Achtung vor Phishing: Hierbei handelt es sich um betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites, die darauf abzielen, Menschen dazu zu verleiten, schädliche Software herunterzuladen und/oder vertrauliche Informationen weiterzugeben. Seien Sie in Zukunft besonders wachsam, wenn in einer E-Mail von einem unbekannten Absender unerwartet eine E-Mail zitiert wird, die sie tatsächlich einmal verschickt haben. Diese Kommunikation könnte aus den abgeflossenen Daten stammen.
Wenn Sie z.B. Unregelmäßigkeiten oder Auffälligkeiten auf Ihrem Bankkonto feststellen, Zahlungsaufforderungen für Käufe, die nicht von Ihnen getätigt wurden oder die Bestätigung für einen nicht getätigten Vertragsabschluss erhalten, empfehlen wir Ihnen unverzüglich eine Strafanzeige bei der Polizei zu stellen. Melden Sie sich – je nach Fall – beim vermeintlichen Vertragspartner, bei Ihrer Bank bzw. den anderen Beteiligten des Vorganges.
Wir arbeiten mit Hochdruck daran, eine neue IT-Struktur aufzubauen, um unsere Arbeit so bald wie möglich in vollem Umfang und auf gewohnte Weise fortsetzen zu können. Zukünftig werden wir unsere IT dauerhaft mit noch höheren Sicherheitsvorkehrungen überwachen.
Wir haben die zuständige Datenschutzbehörde informiert und stehen mit ihr in engem Austausch.
Wir versichern Ihnen, dass wir den Datenschutz sehr ernst nehmen und die gesetzlichen Datenschutzvorschriften einhalten. Die Sicherheit der uns anvertrauten Daten hat für uns höchste Priorität.
Sollten Sie noch weitere Fragen zum Datenschutz haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten:
datenschutz@rsag-online.de